# Fortigate
**การ Config จะประกอบไปด้วย 6 หัวข้อหลักดังนี้**
1. [การตั้งค่า Radius](#radius) เป็นการตั้งค่า Fortigate ให้ Connect กับ Radius Server ของ Seara Cloud
2. [การตั้งค่า User Groups](#user-grops) เป็นการตั้งค่าในส่วนของ User ซึ่งจะทำงานร่วมกับ Menu [Package](https://manual.seara.biz/site-management/user-management/internet-package) บน Seara Cloud ในการตั้งชื่อ User Group ชื่อจะต้องตรงกับชื่อ Package บน Seara Cloud ด้วย ถ้าหากมี Package มากกว่า 1 Package ก็ต้องสร้าง User Group ให้ครบตามจำนวน Package นะครับ
3. [การตั้งค่า Address](#address) เป็นการกำหนด Network ของขา LAN เพื่อที่จะนำ Network นี้ไปใช้ในการทำ Captive Portal Policy
4. [การตั้งค่า Interface สำหรับ Internal ( ขา LAN )](#interface-internal-lan) เป็นการตั้งค่า Interface ที่จะนำมาใช้สำหรับขา LAN ซึ่งจะรวไปถึงการ Config [IP Address](#config-lan-interface) ของขา LAN [DHCP Server](#dhcp-server) [Captive Portal](#network)
5. [การ Import SSL Certification ](#import-ssl-certification) เป็นการ Upload file certificate เข้าไปใน Fortigate
6. [การตั้งค่า Firewall Policy](#firewall-policy) เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication
7. [เพิ่ม Fortigate เข้าไปใน Seara ](#add-fortigate-on-seara)เป็นการเพิ่ม NAS ID ของ Fortigate เข้าไปใน Seara ซึ่ง Login Page และ Radius จะ Call ผ่าน NAS ID ของ Fortigate
##### ในการ Config ควรจะเรียงลำดับตามหัวข้อด้านบนไปที่ละหัวข้อ #####
#### **ตั้งค่า Radius**
1. เลือก Menu User & Authentication
2. เลือก Menu RADIUS Server
3. กด Create New
**Name :** ตั้งชื่อ Radius Server
**Authentication method :** เลือกเป็น Specify จากนั้นเลือก Authen type เป็น PAP
**NAS IP :** ใส่ IP Gateway ของขา LAN
Primary Server
**IP/NAME :** (IP Radius ดูจาก E-Mail ที่ได้รับ)
**Secret :** (secret ดูจาก E-Mail ที่ได้รับ)
จากนั้นกด Test Connectivity
สังเกตว่า Connection status จะต้องขึ้น Successful
**กดที่ >\_ Edit in CLI**
**พิมพ์คำสั่ง** config user radius **หากพิมพ์ถูกต้องจะขึ้นตามภาพนี้**
**พิมพ์คำสั่ง** edit **ตามด้วยชื่อ Radius ที่เราตั้งไว้ก่อนหน้านี้ ตั้วอย่างจะชื่อ Seara Auth หรือพิมพ์คำว่า edit แล้วกด shift+? แล้วจะแสดงชื่อ Radius profile ของเราขึ้นมา**
**การ Setting Connect To Radius Server Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ**
```html
set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set nas-ip 172.16.10.1 (ใส่ ip Gateway ของขา LAN)
set acct-interim-interval 60
set radius-coa enable
set auth-type pap
```
**การ Setting Radius Accounting Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ**
```
config accounting-server
edit 1
set status enable
set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set port 1813
```
**ถ้าทำครบตามขั้นตอนแล้ว เมื่อพิมพ์คำสั่ง show ควรจะได้ผลตามภาพนี้**
***
#### ตั้งค่า User Grops
1. **ไปที่ Menu User & Authentication**
2. **User Groups**
3. **กด Create New**
1. **ตั้งชื่อ Group**
2. **กด Add เพื่อเพิ่ม Radius Server ให้กับ User Group**
3. **ตั้งค่าในส่วนของ Radius**
**Remote Server :** เลือก Radius Server ที่เราสร้างก่อนหน้านี้
**Groups :** เลือกเป็น Specify แล้วตั้งชื่อ Package (ชื่อ Package จะต้องตรงกับ ชื่อ Package บน Seara Cloud)
หากบน Seara Cloud มี Package มากกว่า 1 Package ให้เพิ่ม User Group ขึ้นมาใหม่ให้ครบตามจำนวนของ Package และตั้งชื่อ User Group ให้ตรงกับชื่อ Package บน Seara Cloud ด้วย
***
#### **การตั้งค่า Address**
1. **เข้าไปที่ Menu Policy & Objects**
2. **เลือก Menu Address**
3. **กด Create New แล้วเลือก Address**
**Name :** ตั้งชื่อให้กับ Address
**Type :** เลือก Type เป็น Subnet
**IP/Netmask :** ใส่ Network และ Subnetmask ของขา LAN
**Interface :** เลือก any
**Create เพิ่มอีก 1 Address**
**Name :** ตั้งชื่อให้กับ Address
**Type :** เลือก FQDN
**FQDN :** ใส่ Domain Name ของ Seara ที่ได้รับใน E-Mail ซึ่งในตัวอย่างจะเป็น demo.seara-portal.net
***
#### **การตั้งค่า Interface สำหรับ Internal ( ขา LAN )**
เลือก Interface สำหรับขา LAN ในตัวอย่างจะใช้ Interface ที่ชื่อ Internal 3
#### Config LAN Interface
**Alias :** ตั้งชื่อให้กับ Interface
**Address :** กำหนด IP address สำหรับขา LAN
**Administrative Access :** ตั้งค่าการเข้าถึง Interface ของขา LAN (ให้ตั้งค่าตามภาพเลยนะครับ)
#### ตั้งค่า DHCP Server
**DHCP status :** คลิ๊ก Enable
**Address range :** ตั้งค่าช่วงของ dhcp ที่ต้องการแจกให้กับ Client
**Netmask :** ตั้งค่า Subnetmask
**DNS server 1 :** ตั้งค่า primary dns
**DNS server 2 :** ตั้งค่า secondary DNS
#### Network
**Security mode :** เลือกเป็น Captive Poral
**Authentication portal :** เลือกเป็น External จากนั้นใส่ Domain Name ของ Seara ที่ได้รับจาก E-Mail แล้วตามด้วย path=/app/portal/login ในตัวอย่าง Domain ชื่อ จากนั้นเติม path เข้าไปก็จะเป็น
**User access :** เลือกเป็น Restricted to Groups จากนั้นให้เพิ่ม Package ที่ได้สร้างไว้ก่อนหน้านั้นให้ครบ
**Exempt destinations/services :** เพิ่ม Address ที่เราได้สร้างไว้ให้ครบ
**Redirect after Captive Portal :** เลือกเป็น Specific URL จากนั้นใส่ Domain Name ของ Seara ของเรา ตามด้วย Path= /app/portal/welcome ตั้งอย่างจะเป็น
หากตั้งค่าครบแล้วให้กด OK
***
#### **Import SSL Certification**
1. **ไปที่ Menu System**
2. **เลือก Menu Certificates**
3. **กด Import เลือก Local Certificate**
1. **ไปที่ Menu PKCS#12 Certificate**
2. **Certificate with key file**
Upload file Certificate ของเราเข้าไป (Certificate file ต้องแปลงเป็นไฟล์นามสกุล .pfx ก่อนนะครับ)
จากนั้นกด OK เพื่อ Save
**Password :** ใส่ Password สำหรับ Certificate File
**Certificate name :** ต้องชื่อ Domain name
***
#### **การตั้งค่า Firewall Policy**
เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication
1. **ไปที่ Menu Policy & Objects**
2. **เลือก Menu Firewall Policy**
3. **กด Create New**
**Name :** ตั้งชื่อ Policy
**Incoming Interface :** เลือก Interface ขา LAN
**Outgoing Interface :** เลือก Interface ขา WAN
**Source :** เลือก Address ที่เราสร้างขึ้นมาก่อนหน้านี้
**Destination :** All
**Acction :** ACCEPT
Firewall / Network Options
**NAT :** Enable ให้เป็นสีเขียว
**เพิ่ม SSL Certificate ใน Policy**
**SSL inspection :** กด Create
**Name :** ตั้งชื่อให้กับ SSL
***SSL Inspection Otions***
**Enable SSL Inspection of :** เลือกเป็น Protecting SSL Server
**Server certificate :** เลือก certificate ที่เรา Upload เข้าไปก่อนหน้านี้
***Protocol Port Mapping***
**HTTPS :** 443
จากนั้นกด OK เพื่อ Save
**SSL Inspection :** เลือก Certificate ที่เราได้ตั้งชื่อไว้
จากนั้นกด OK เพื่อ Save Policy
**เปิด CLI Console ของ Fortigate ขึ้นมา**
พิมพ์คำสั่งตาม Code ด้านล่าง
* ตรง set auth-cert ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file
```
config user setting
set auth-cert fortiseara.captive-portal.net
end
```
พิมพ์คำสั่งตาม Code ด้านล่าง
* ตรง set portal-addr ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file
```
config firewall auth-portal
set portal-addr fortiseara.captive-portal.net
end
```
#### Add Fortigate on Seara
1. ไปที่ link Domain ของ Seara ที่ได้รับจาก Email ตัวอย่างเช่น [https://demo.seara-portal.net](https://demo.seara-dev.net/)
2. Add Location : เข้าไปที่ Menu Site บน Seara แล้วเพิ่มสถานที่ วิธี [Add Location](https://manual.seara.biz/site-management/site-management-1/location)
3. Add Device : เข้าไปที่ Menu Site บน Seara แล้วกด เพิ่ม NAS จากนั้นทำตามขั้นตอนดังในภาพ
ปล. IP WAN จะต้องเป็น Public IP แบบ Static เท่านั้น
**.............................. เสร็จสิ้นการ Config เบื้องต้น ..............................**